×

打开微信,扫一扫二维码
订阅我们的微信公众号

首页 锦天城概况 专业领域 行业领域 专业人员 全球网络 新闻资讯 出版刊物 加入我们 联系我们 订阅下载 锦天城二十周年 CN EN JP
首页 > 出版刊物 > 专业文章 > 个人信息保护——互联网时代下企业合规重点

个人信息保护——互联网时代下企业合规重点

作者:邓勇 潘烨桐 2020-02-063121

在互联网和大数据时代,商家及个人消费者均受益于技术带来的便利,但随着互联网越来越深度嵌入我们的生活,个人信息数据保护日益重要。2018年5月25 日,号称史上最严的数据保护法GDPR(欧盟《通用数据保护条例》)在欧盟生效,google、facebook先后被开天价罚单;2020年1月1日,美国《加州消费者隐私法》CCPA生效,预计500,000家在美运营企业将受该法影响。在全球个人信息数据保护大环境下,中国亦逐步开展个人信息数据保护进程。


法律法规及规范性指引文件




个人信息合规监管情况


2019年至2020年初,由全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立APP专项治理工作组对APP进行监管整治,包括公安部门在内的国家各有关部门的监管活动也初见成效,多达近800款中国企业持有、运营的APP受到通报或要求整改、下架的处罚处理。仅在公安部组织的“净网2019”专项行动中,依法查处的违法违规采集个人信息的APP就达683款。2019年11月以来,全国公安机关网安部门按照公安部网络安全保卫局的部署要求,集中发现、集中侦办、集中查处整改了100款违法违规APP及其运营的互联网企业,并要求该100款违法违规APP下架整改。其中包括多家银APP,微店、考拉海购、房天下等知名度较高的APP。除此之外,工信部门也于去年12月至今年年初通报两批共56款存在问题的APP。


(来源:《公安机关开展APP违法采集个人信息集中整治》 国家网络安全通报中心)


纵观各类被通报、要求整改或下架的APP,主要存在如下问题:


未公开收集用个人信息的规则/私自收集个人信息


2019年7月11日, App专项治理工作组发布了《关于10款App存在无隐私政策等问题的通报》,包括中国银行手机银行、春雨医生、韵达快递等10款App“违反《网络安全法》第四十一条‘公开收集使用个人信息规则’的要求,无隐私政策”,被要求整改。


除此之外,广东省公安厅公布的“净网2019”专项行动公开信息,部分App虽有用户协议,但存在未单列隐私政策或未完整说明收集的信息类型等情况,该类情况亦属于被通报的违规行为。


超越必要范围收集个人信息/实际收集的个人信息与业务功能无关


根据广东省公安厅公开的信息,2019年7月份,共监测发现490余款APP存在超范围收集用户信息行为,其中“漫星漫画”“游戏超人”“乐讯社区”等44款APP,存在超范围读取用户通话记录、短信内容,收集用户通讯录、位置信息,超权限使用用户设备麦克风、摄像头等突出安全问题。就监测的情况,由公安部通报属地公安机关开展清理整治。


无法或难以注销账号


2019年12月19日,工业和信息化部信息通信管理局通报了第一批侵害用户权益行为的APP,并通报对于对发现存在问题的百余家企业,在监督检查阶段对该类企业进行督促整改。其中,存在问题的APP包括QQ、小米金融、追书神器等APP,所涉问题包含了“账号注销难”问题。


除以上常见问题外,还有不授权权限不允许使用APP、强制使用定向推送功能、私自共享第三方、频繁申请权限等,亦属于工业和信息化部信息通信管理局通报的APP侵害用户权益行为。


但请注意,APP的个人信息保护合规仅是企业需要关注的其中一个部分。对于没有开发APP但仍从事网络贸易、提供网络服务等会接触、收集个人信息的企业亦需进行个人信息保护合规。在个人信息合规过程中,企业还需从企业的内部规程、个人信息收集、储存、处理等角度进行合规关注。



个人信息保护合规中需注意的问题


个人信息收集


根据《电信和互联网用户个人信息保护规定》,电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则,且应对收集、使用的用户个人信息的安全负责。在实务中,我们建议:


企业对其提供服务所需的个人信息范围进行评估及明确,仅根据其提供的服务所需的范围收集个人信息,对超越其服务提供所需范围的信息不作收集。


如天气预报软件可以为提供更精准服务而在获得用户同意的情况下获取其手机定位,但若该软件要求获取用户通讯录或手机相册信息的,则属于超越其服务提供所需的范围,该超越范围收集个人信息的情况将可能导致应用被举报或查处下架等。且收集的个人信息越多,则企业面临的个人信息管理压力也会增大,面临个人信息泄露的风险也相应加大。


制定内容清晰、明确的隐私政策/个人信息收集规则。


在实务中,我们常会看见大部分的隐私政策都使用概括性的语言描述收集的信息及使用用途,隐私政策约定内容也过于简单。根据《电信和互联网用户个人信息保护规定》并参照《信息安全技术 个人信息安全规范》(GB/T 35273-2017,以下简称“《规范》”)中的指引,隐私政策应包含收集、使用信息的目的、方式和范围,查询、更正、删除信息的渠道以及拒绝提供信息的后果等事项。在隐私政策条款的设置中,也注意使用清晰、明确且易于用户理解的表述进行明示,避免模糊、概括性的用语。


通过明显的方式展示隐私政策/个人信息收集规则并征得用户同意


据观察,大部分隐私政策通常在用户首次使用软件/网页/注册会员时被折叠在相关按键下方,需要点击方能进入查询全文,部分还会设置成自动勾选。在个人信息保护力度越来越大的新监管下,我们建议企业可以通过弹出展示隐私政策全文,或以较醒目的字眼提醒用户点击阅读隐私政策,并由用户自主勾选同意的方式来满足《规范》中 “取得个人信息主体的明示同意” 的指引,同时可以在企业官方网站上提供隐私政策全文跳转链接。


个人信息的技术保护


在2019年初发生了一件轰动全国的人脸识别公司数据泄露事件,泄露的信息包括身份证信息,人脸识别图像及捕捉地点等。而该数据泄露并非因为遭受恶意的攻击,而是荷兰安全研究院发现该公司未对内部数据库做相应的密码保护,反而使数据库处于开放的状态,任何人均可访问。


随着社会数字化的发展,国内越来越多的商家通过互联网提供服务,应用人脸识别技术或通过其他数字化方式储存大量用户个人信息,也将面临个人信息管理的问题。根据《网络安全法》及相关规定、指南,网络运营者应当按照网络安全等级保护制度的要求履行一定的保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。其中则包括:


采取防范计算机病毒和网络攻击、入侵等危害行为的技术措施;


采取一定的检测、记录措施并按照规定留存相关网络日志不少于六个月;


采取数据分类、重要数据备份和加密等措施;


对储存个人信息的硬件及其环境提供保障措施


针对个人敏感信息,系统有一定的识别能力并采取相应更严格的防范措施。


根据《规范》,个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下 〈含)儿童的个人信息等。


而2019年12月1日开始实施的《信息安全技术 网络安全等级保护测评要求》中,还首次提出了对“威胁情报检测系统”和“威胁情报库”的要求,体现对网络环境安全及风险监测的重视。


企业内部管理要求


除了在技术层面上进行相应的设置,企业还需要从企业管理的角度考虑个人信息保护,包括:


相关专门人员、部门的配备


根据《电信和互联网用户个人信息保护规定》,企业应确定各部门、岗位和分支机构的用户个人信息安全管理责任。具体可参照《互联网个人信息安全保护指南》,根据企业本身实际情况设置相应的安全主管、安全管理各方面负责人、安全审计人员等。对于被录用的相关管理人员,还可以事前先进行背景和专业资格审查、技能考核等,确保该人员具有相应能力。


企业内部员工接触、处理个人信息的权限设置


根据《电信和互联网用户个人信息保护规定》,企业应当对工作人员及代理人实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施,以防止用户个人信息泄露、毁损、篡改或者丢失。


在实务中,部分企业存在将收集的个人信息与其他信息混同存放、公司员工或大部分员工能随意获取收集的个人信息等情况,均会提高个人信息被泄露、非法提供等风险。


内部管理制度落实


除了配备专门部门、人员管理个人信息,对员工设置权限管理外,建议企业针对个人信息保护相关事宜逐步制定、完善并落实相应内部管理制度,包括个人信息重要操作的审批流程、建立个人信息安全评估制度、外部人员访问制度、安全审计制度、应急预案制度、安全意识宣传教育制度等。


除以上需注意的企业内部合规管理,为保证企业在个人信息保护处于长期、稳定的合规状态,企业还应注意定期安全审计及风险评估、更新升级保护系统及环境、完善管理操作记录等,在企业营运过程中不断总结个人信息保护经验。


个人信息传输、转移、出境


在大数据时代,个人信息传输、转移显得更加平常,部分企业会选择请数据分析公司提供数据分析服务,部分企业则是因为网络销售的发展需要与物流公司、平台合作共享个人信息,更有部分企业因为集团公司内部的需要需将个人信息传输到境外的关联公司。


参照《规范》,个人信息在共享、转让时应当告知并事先征得个人信息主体的同意,应进行安全影响评估并采取相应有效措施,并记录和保存个人信息共享、转让的情况,承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任等。


而针对个人信息出境,根据《互联网个人信息安全保护指南》,“在境内运营中收集和产生的个人信息应在境内存储,如需出境应遵循国家相关规定”,但目前针对个人信息出境未有生效的规定。2019年6月13日,国家互联网信息办公室公布了《个人信息出境安全评估办法(征求意见稿)》公开征求意见。意见中列明“个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估”,并规定申报材料中包括网络运营者与接收者签订的合同、个人信息出境安全风险及安全保障措施分析报告。且应当每年12月31日前将本年度的个人信息出境情况、合同履行情况等报所在地省级网信部门。虽然该办法仍处于征求意见阶段,但可以预见在将来个人信息出境将受有关部门监管。


结尾:在对于个人信息安全要求日益提高的大数据时代,个人信息的保护不仅仅停留在设置更详细的隐私政策并获得个人信息主体的同意,企业更应该关注个人信息收集后的储存、使用过程中的保护,以及企业内部风控体系的建立与真正执行,以避免企业因个人信息保护问题而带来的法律责任及企业商誉损失。